Читаем Политики безопасности компании при работе в Интернет полностью

Процедуры выявления неавторизованной деятельности

Для обнаружения большинства видов неавторизованного использования компьютерных систем существуют несложные процедуры, применяющие стандартные средства операционных систем или опирающиеся на инструментарий, свободно доступный из различных источников.

Отслеживание использования систем. Системный мониторинг может выполняться как администратором, так и специально написанными программами. Мониторинг включает в себя просмотр различных частей системы в поисках чего-нибудь необычного. Некоторые простые способы решения данной задачи будут рассмотрены ниже.

Отслеживание использования систем очень важно выполнять на постоянной основе. Бессмысленно выделять для мониторинга один день в месяце, поскольку нарушения режима безопасности зачастую длятся всего несколько часов. Только поддерживая постоянную бдительность, можно рассчитывать на своевременную реакцию на нарушения.

Инструменты для отслеживания использования систем. В данном пункте описываются инструменты и методы, позволяющие выявлять неавторизованное использование систем:

 ведение регистрационных журналов;

Большинство операционных систем сохраняют в регистрационных файлах массу информации.

Регулярный анализ этих файлов обычно является первой линией обороны при определении неавторизованного использования систем:

– сравните текущий список активных пользователей с предыдущими записями о входах в систему. Большинство пользователей каждый день входят в систему и выходят из нее приблизительно в одно и то же время. Вход в «ненормальное» время может свидетельствовать об использовании системного счета злоумышленником;

– во многих системах накапливаются учетные записи с целью последующего выставления счетов. Эти записи также можно использовать для определения типичного профиля использования системы. Необычные записи могут быть следствием неавторизованной активности;

– обычно в системах существуют средства накопления регистрационной информации (например, syslog в ОС UNIX). Проверьте эту информацию на предмет необычных сообщений об ошибках, генерируемых программным обеспечением. Например, большое число неудачных попыток входа в течение короткого промежутка времени может свидетельствовать о попытках подобрать пароль;

– с помощью команд операционной системы, выводящих список выполняемых в данный момент процессов, можно выявить пользователей, запустивших программы, к которым они не имеют права обращаться, равно как и неавторизованные программы, запущенные нарушителем.

 программы отслеживания;

Другие средства мониторинга можно сконструировать, комбинируя различные, на первый взгляд не связанные между собой, стандартные механизмы операционной системы. Например, контрольный список прав доступа к файлам и их владельцев в ОС UNIX нетрудно получить с помощью команд find и Is и сохранить как эталон. Затем периодически можно порождать новые списки и сравнивать их с эталоном (в ОС UNIX для этого имеется команда diff). Несовпадения, возможно, свидетельствуют о несанкционированных изменениях. Дополнительные средства доступны от третьих фирм-поставщиков и от организаций, распространяющих свободное программное обеспечение.

 прочие средства.